日本にはAIを直接規制する法律がありますか？

はい。2025年9月に『人工知能関連技術の研究開発及び活用の推進に関する法律』（通称AI基本法/AI推進法）が全面施行されました。ただし罰則を伴わないソフトロー的な性格が強く、事業者の自主的な取り組みを促す内容です。EUのAI Actのような強制力のある規制とは異なります。

EU AI Actは日本企業にも適用されますか？

はい。EU域内に拠点がなくても、AIシステムがEU域内のユーザーや市場に影響を与える場合、日本企業も対象になります（域外適用）。違反した場合は最大で全世界年間売上高の7%または3,500万ユーロのいずれか高い方が罰金として科される可能性があります。

AI生成コンテンツに著作権はありますか？

AIが自律的に生成したコンテンツには原則として著作権は認められません。著作権は『人間の創作的寄与』に帰属するという考え方が主流です。ただし、人間がAIを道具として利用し実質的な創作的寄与を加えた部分には著作権が発生する可能性があります。2026年後半には商用AI生成コンテンツへの表示義務化を盛り込んだ法改正が予定されています。

2026年にAI関連で最も注意すべき法規制の変更は何ですか？

3つあります。1つ目はEU AI Actの高リスクAI規定の完全適用（2026年8月）、2つ目は日本の個人情報保護法改正（課徴金制度の導入検討中）、3つ目はAI事業者ガイドライン第1.2版（AIエージェントへのHuman-in-the-Loop必須化）です。

AI規制の最新動向：日本企業が押さえるべき法規制とガイドライン【2026年版】

2025-2026年AI規制タイムライン 図: 2026年8月のEU AI Act完全適用が最大の節目

2026年は、AI規制が「議論」から「施行」に切り替わる年です。 EUのAI Act（AI規制法）は2026年8月に高リスクAIシステムへの義務が完全適用され、日本でもAI基本法の施行、個人情報保護法の改正、AI事業者ガイドラインの更新が同時進行しています。

「うちはAIを使っているだけだから規制は関係ない」と思っている企業も少なくありませんが、EU AI Actの域外適用により、EU市場に関わるすべての日本企業が対象になる可能性があります。実務で対応した経験では、「自社はAIを開発していないから対象外」と判断していた企業が、実際にはSaaSを通じてEU域内にサービスを提供しており、高リスクAIのサプライチェーンに含まれていたケースが複数ありました。

本稿では、2026年3月時点で日本企業が押さえるべきAI関連法規制を、施行日・対応事項・罰則つきで網羅的に整理します。後半では、実際に企業がどのような手順で規制対応を進めるべきか、業界別の具体的な対応事例とあわせて解説します。

図1: 2025〜2026年のAI規制タイムライン — 2026年8月のEU AI Act完全適用が最大の節目

図1: 日本とEUのAI規制タイムライン（2024〜2028年）

図2: AI規制対応力の5軸レーダーチャート

2026年AI規制の全体像 — なぜ「いま」対応が必要なのか

まず、2026年にAI規制対応が急務となっている背景を整理します。

2025年までのAI規制は「原則」や「ガイドライン」が中心で、違反しても直接的な罰則がない状態が大半でした。しかし2026年は以下の3つの変化が同時に起きる「転換点」です。

EU AI Actの高リスク規定が完全適用（2026年8月） — 違反時の罰金が全世界年間売上高の最大7%
日本の個人情報保護法に課徴金制度が導入される見込み — AIへの個人データ入力が金銭的リスクに直結
AI事業者ガイドライン第1.2版がAIエージェントの管理を明確化 — 自動実行するAIへのHuman-in-the-Loop（人間の介入）が必須に

これまで「ソフトロー」（法的拘束力のない指針）だった日本のAI規制も、EU AI Actとの整合性が求められるなかで実質的な拘束力を持ち始めています。取引先からの「AI規制対応の証明」を求められるケースも増えており、対応の遅れは受注機会の損失に直結します。

日本のAI関連法規制

AI基本法（AI推進法） — 2025年9月全面施行

正式名称は「人工知能関連技術の研究開発及び活用の推進に関する法律」。2025年9月に全面施行されました。

ポイント:

罰則を伴わないソフトロー的な性格。事業者の自主的な取り組みを促す内容
内閣にAI戦略本部を設置し、「AI基本計画」を策定
AI適正性指針（2025年12月公表）で、多様な主体が遵守すべき基本方針を提示
EUのAI Actとは異なり、イノベーション促進とリスク管理の両立を目指す
AI基本計画では、2030年までに日本をAI活用先進国にするロードマップを提示

AI適正性指針の主な内容:

AI適正性指針は、AI基本法の理念を実務レベルに落とし込むための文書です。以下の7つの原則が柱となっています。

人間中心の原則 — AIは人間の能力を補完・拡張するものであり、最終判断は人間が行う
安全性の確保 — AIシステムのリスク評価と安全対策の実施
公平性・非差別 — 学習データのバイアス管理とアウトプットの公平性検証
透明性・説明可能性 — AIの判断プロセスをステークホルダーに説明できる体制
プライバシー保護 — 個人情報の適正な取り扱い
セキュリティの確保 — サイバー攻撃やデータ漏洩への対策
アカウンタビリティ — AIの開発・運用に関する説明責任

企業の対応: 直接的な罰則はありませんが、今後のガイドラインや業界規制の基盤となるため、基本方針の理解と自社のAIガバナンス体制の整備が推奨されます。特に金融機関や医療機関では、業界の自主規制としてAI適正性指針への準拠が実質的に求められ始めています。

AI事業者ガイドライン — 第1.2版案（2026年2月）

経済産業省と総務省が共同で策定。2025年3月に第1.1版が公開され、2026年2月に第1.2版案が提示されました。

第1.2版の重要な変更点:

AIエージェントとフィジカルAI（ロボットなど物理世界で動作するAI）が新たなカテゴリとして追加
AIエージェントが外部にアクションを実行する際のHuman-in-the-Loop（人間による介入・承認）の仕組みの構築が必須化
AI開発者・提供者・利用者それぞれの責任範囲をより具体的に明示
AIモデルの学習データに関する記録保持義務の明確化（開発者向け）
インシデント報告のフレームワークの新設 — AI起因の事故やトラブル発生時の報告手順を規定

AIエージェントに関する具体的な要件:

第1.2版で最も注目すべきは、AIエージェントの管理要件です。具体的には以下が求められています。

要件	内容
アクション承認	外部システムへの書き込み・送信・決済などの実行前に人間の承認を取得
実行ログの保持	AIエージェントが実行したすべてのアクションのログを最低1年間保存
権限の最小化	AIエージェントに付与する権限を業務遂行に必要な最小限に制限
異常時の自動停止	想定外の動作を検知した場合の自動停止機構の実装
定期的な監査	AIエージェントの動作を少なくとも四半期ごとにレビュー

表: AI事業者ガイドライン第1.2版 — AIエージェントの管理要件

企業の対応: AIエージェントを業務に導入している企業は、人間の承認ステップがワークフローに組み込まれているか確認してください。Human-in-the-Loopの設計パターンについては「Human-in-the-loop設計：人に戻す"条件"の決め方」で詳しく解説しています。

JIS Q 38507:2026 — AIとITガバナンスの規格（2026年2月制定）

日本規格協会（JSA）が2026年2月に制定。11年ぶりにITガバナンスの基本原則を刷新し、AI導入時の判断指針を提供する規格です。

JIS Q 38507の主な構成:

評価（Evaluate）: AIシステムの導入可否を、リスク・コスト・効果の観点から評価する
指示（Direct）: AIガバナンスの方針・ルールを策定し、組織に浸透させる
監視（Monitor）: AIシステムの運用状況を継続的にモニタリングする

企業の対応: JIS規格は法的強制力はありませんが、業界標準として監査や取引先評価の基準になり得ます。実務で対応した経験では、大手製造業のサプライチェーンにおいて、Tier1サプライヤーへのAIガバナンス要件としてJIS Q 38507への準拠状況を確認する動きが2026年初から見られるようになりました。自社のAIガバナンスがJIS規格に準拠しているか確認することを推奨します。

個人情報保護法改正 — 2026年通常国会で審議中

2026年の通常国会で改正案が提出されており、以下の変更が検討されています。3年ごとの見直し規定に基づく今回の改正は、AI時代の個人データ保護を強く意識した内容になっています。

主な改正ポイント:

課徴金制度の導入: 違反企業に対する金銭的制裁の導入。GDPRの制裁金制度を参考に、違反の重大性に応じた段階的な課徴金が検討されています
顔データ収集の規制強化: 顔認識技術を利用したデータ収集に対する規制。公共空間での無断収集は原則禁止の方向
未成年者の保護強化: 子どもの個人情報に関する追加的な保護措置。16歳未満の個人データを学習データとして利用する場合の同意要件の厳格化
生成AIへのオプトアウト権の明確化: 個人が自身のデータをAI学習から除外する権利を明確化

具体例 — 小売業での影響: ある大手小売チェーンでは、店舗内カメラで取得した顔データを来店分析AIに活用していましたが、改正法案の顔データ収集規制を受けて、顔認識を使わない動線分析（シルエットベースの人流解析）への切り替えを2026年1月から開始しました。切り替えにかかったコストは約3,000万円で、6か月の移行期間が必要でした。規制対応は早ければ早いほどコストを抑えられます。

企業の対応: AIに個人情報を入力している場合、目的外利用に該当しないか確認してください。改正後は課徴金のリスクが加わるため、個人情報のAI利用に関する社内ルールの見直しが必要です。プライバシー対応の全体像については「プライバシー同意管理の運用設計：6つの状態で曖昧さをなくす仕組み」も参考にしてください。

著作権法 — AI生成物の取り扱い

2026年時点の著作権法の解釈と最新動向は以下のとおりです。

段階	ルール
AI開発・学習段階	著作権法第30条の4により、原則として許諾なしにAIの学習が認められる（著作権者の利益を不当に害する場合を除く）
AI生成・利用段階	生成物が既存著作物と「類似性」があり「依拠」して生成されたと判断される場合、著作権侵害の可能性
AI生成物の著作権性	AIが自律的に生成したコンテンツには原則として著作権は認められない。人間の創作的寄与がある部分には著作権が発生する可能性

表1: 著作権法とAI生成物の関係（2026年3月時点） 最新の動向:

2026年3月、最高裁が特許出願の発明者をAI（DABUS事件）として認めることを退け、「自然人」に限定する判断を確定
2024年9月、東京地方裁判所で特定の作風に酷似したAI生成画像の販売に対し著作権侵害可能性を認定
2026年後半に、商用AI生成コンテンツへの表示義務化を盛り込んだ法改正が予定
文化庁が「AIと著作権に関する考え方」の改訂版を2026年1月に公表し、RAG（検索拡張生成）における著作物利用の取り扱いを初めて明確化

具体例 — メディア企業での対応: ある出版社では、AI生成記事を月間数百本公開していましたが、著作権侵害リスクの高まりを受けて、2025年末に全AI生成コンテンツに「AI支援により作成」のラベルを付与する運用を先行導入しました。さらに、生成に利用したプロンプトと参照ソースの記録を保持するワークフローを構築。2026年後半の表示義務化に先行して対応したことで、法改正時のシステム変更コストを最小化できる見込みです。

EU AI Act — 日本企業への影響

EU AI Act（AI規制法）は2024年8月に発効し、規定が段階的に適用されています。2026年8月2日に高リスクAIシステムに関する主要規定が完全適用される予定です。

段階的な施行スケジュール

EU AI Actは一度にすべてが適用されるわけではなく、以下のスケジュールで段階的に施行されます。

時期	適用される規定	状況
2025年2月	許容不可リスクAIの禁止、AIリテラシー義務	適用済
2025年8月	汎用AIモデル（GPAI）に関する規定	適用済
2026年8月	高リスクAIシステムの義務（適合性評価、技術文書等）	適用予定
2027年8月	附属書IIIに記載された高リスクAIの義務（既存の製品安全法制と統合）	適用予定

表2: EU AI Actの段階的施行スケジュール

すでに2025年2月から許容不可リスクAIの禁止規定は適用されています。つまり、社会的スコアリングやリアルタイム生体認証による大規模監視などは、EU域内ではすでに違法です。

リスクベースの4段階分類

Loading chart...

図2: EU AI Actのリスク分類と罰則の比較

リスク分類	該当するAIの例	規制内容
許容不可リスク	社会的スコアリング、リアルタイム顔認識（法執行を除く）	完全禁止
高リスク	採用AI、信用スコアリング、重要インフラの安全管理AI	リスク管理、データ品質管理、技術文書作成、人間による監視、適合性評価が必須
限定的リスク	チャットボット、ディープフェイク生成	透明性の確保（AIであることの表示義務）
最小リスク	スパムフィルター、ゲームAI	規制なし

表3: EU AI Actのリスク分類と規制内容

汎用AIモデル（GPAI）への規制

2025年8月からは、GPT-4やClaude、Geminiなどの汎用AIモデル（General-Purpose AI Model）の提供者にも義務が課されています。

すべてのGPAI提供者に求められる義務:

技術文書の作成・維持
EU著作権法の遵守に関する情報提供
学習データに関する十分に詳細な要約の公開

システミックリスクを有するGPAI（学習に10^25 FLOPを超える計算資源を使用したモデル等）への追加義務:

モデル評価の実施
システミックリスクの評価と軽減策の実施
インシデント報告
サイバーセキュリティ対策

この規制は、日本企業がGPAIをAPIで利用する場合には直接適用されませんが、GPAIを組み込んだサービスをEU域内に提供する場合は「デプロイヤー」として別途義務が発生します。

日本企業への影響

域外適用: EU域内に拠点がなくても、以下に該当する場合は日本企業もEU AI Actの対象になります。

AIシステムの出力がEU域内で使用される場合
EU域内のユーザーにAIサービスを提供している場合
EU市場にAIシステムを提供する企業のサプライチェーンに含まれる場合

罰金: 違反した場合、最大で全世界年間売上高の7%または3,500万ユーロのいずれか高い方が科される可能性があります。

具体例 — 製造業での影響: 日本の大手自動車部品メーカーA社は、品質検査にAIを利用した画像認識システムを導入しています。EU域内の完成車メーカーにOEM供給しているため、この品質検査AIはEU AI Actの「高リスクAI」（重要インフラ・安全関連）に分類される可能性があります。A社は2025年末から対応プロジェクトを立ち上げ、リスク管理システムの構築、技術文書の英語・仏語での整備、人間による監視プロセスの文書化を進めています。対応チームは品質管理部門3名、IT部門2名、法務部門1名の6名体制で、8か月のスケジュールで進行中です。

企業の対応チェックリスト:

自社のAIシステムがEU域内に影響を与えるか確認
AIシステムのリスク分類（高リスクに該当するか）を評価
高リスクに該当する場合、リスク管理・技術文書・人間監視の体制を整備
チャットボット等の限定的リスクAIには、AIである旨の表示を実施
GPAIを組み込んだサービスをEU向けに提供している場合、デプロイヤーとしての義務を確認
EU域内の代理人（Authorized Representative）の指定を検討
2026年8月の完全適用までに対応を完了

EU AI Actの罰金は全世界年間売上高に基づいて計算されます。日本国内の売上だけでなく、グローバルの売上が基準になる点に注意してください。

業界別 — AI規制の影響と対応優先度

AI規制の影響は業界によって大きく異なります。以下に主要業界ごとの影響度と対応優先度を整理します。

業界	主な影響を受ける規制	影響度	優先対応事項
金融	EU AI Act（信用スコアリング）、個人情報保護法改正	極めて高い	与信判断AIのリスク評価、課徴金対応
製造	EU AI Act（安全管理AI）、AI事業者GL	高い	品質検査AIの技術文書整備、サプライチェーン対応
医療	EU AI Act（高リスク）、薬機法	極めて高い	医療AI規制との整合性確認、適合性評価
小売・EC	個人情報保護法改正、著作権法	中程度	顧客データのAI利用見直し、AI生成コンテンツの管理
IT・SaaS	EU AI Act（域外適用）、AI事業者GL	高い	EU向けサービスの分類、GPAI対応
人材	EU AI Act（採用AI＝高リスク）	極めて高い	採用AIの公平性検証、透明性の確保

表4: 業界別のAI規制影響度と対応優先事項

特に注意すべきは人材業界です。EU AI Actでは採用・人事に使用するAIを「高リスク」に分類しています。日本企業であっても、EU域内の人材を対象とする採用プロセスにAIを使用している場合は規制の対象になります。書類選考AIやスクリーニングAIは、公平性の検証と判断根拠の説明機能が必須です。

規制対応リスク評価フレームワーク

AI規制対応を効率的に進めるためのリスク評価フレームワークを提示します。自社のAIシステムごとに以下の5つの軸で評価し、優先度を判定してください。

ステップ1: AIシステムの棚卸し

まず、自社で利用しているすべてのAIシステムを洗い出します。

自社開発AI: 内製で開発したAIモデル・システム
商用SaaS: ChatGPT、Claude、Copilotなどの生成AIツール
組み込みAI: 利用しているSaaSやツールに内蔵されているAI機能
業務委託先のAI: 外部ベンダーが業務遂行に使用しているAI

見落としがちなのが3番目の「組み込みAI」です。例えば、マーケティングオートメーションツールのリードスコアリング機能やCRMの予測分析機能も、AIシステムとしてカウントする必要があります。

ステップ2: 5軸でのリスク評価

各AIシステムについて、以下の5軸で1〜5点のスコアをつけます。

評価軸	1点（低リスク）	3点（中リスク）	5点（高リスク）
EU域内への影響	影響なし	間接的な影響あり	直接的にEUユーザーに提供
個人データの利用	利用なし	匿名化データを利用	個人を特定可能なデータを利用
判断の影響度	業務効率化のみ	業務判断を補助	重大な意思決定に直結（採用・与信等）
自動実行の度合い	人間が最終判断	一部自動実行	完全自動実行（AIエージェント）
代替手段の有無	容易に代替可能	代替は可能だが負荷大	代替手段なし

表5: AI規制リスク評価の5軸スコアリング 合計スコアの判定基準:

20〜25点: 最優先対応。2026年8月までに規制対応を完了する必要があります
13〜19点: 優先対応。規制対応計画を策定し、段階的に対応を進めてください
7〜12点: 通常対応。社内ガイドラインへの準拠を確認し、定期的にモニタリング
5〜6点: 経過観察。重大なリスクはないが、規制動向をウォッチ

ステップ3: 対応ロードマップの策定

リスク評価の結果に基づき、以下の優先順位で対応を進めます。

即座に対応（2026年Q2まで）: スコア20点以上のシステム → EU AI Act適合性評価の準備
計画的に対応（2026年Q3まで）: スコア13〜19点のシステム → 社内ガイドライン整備と運用体制構築
継続モニタリング（2026年Q4以降）: スコア12点以下 → 規制動向のウォッチと定期レビュー

企業がいま取るべき7つのアクション

1. AIシステムの全数棚卸し

自社で利用しているAIシステム（商用SaaS含む）を一覧化し、上記のリスク評価フレームワークでリスクレベルを評価してください。IT部門だけでなく、現場部門が独自に導入している「シャドーAI」も含めて棚卸しすることが重要です。

2. AIガバナンス体制の構築

経営層をスポンサーとするAIガバナンス委員会を設置し、AI利用に関する方針決定、リスク評価、インシデント対応の体制を整えます。委員会のメンバーには、経営層、法務、IT、事業部門の代表者を含め、最低でも四半期に1回は開催してください。ガバナンス体制の設計については「ガバナンス設計テンプレート：ログ・個人情報・著作権・社内利用ルールの作り方」を参照してください。

3. 社内ガイドラインの策定・更新

AI事業者ガイドライン第1.2版の内容（AIエージェントのHuman-in-the-Loop必須化など）を反映した社内ガイドラインを策定・更新します。ガイドラインには、利用可能なAIツールのリスト、入力禁止情報の定義、出力の検証手順を明記してください。具体的なテンプレートは「生成AI社内ガイドラインの作り方：テンプレートと運用ルール設計」で解説しています。

4. 個人情報保護の対応強化

個人情報保護法の改正（課徴金制度の導入）を見据え、AIへの個人情報入力に関するルールを厳格化してください。特に以下の3点を確認します。

AIサービスの利用規約で、入力データがモデル学習に使用されるかどうか
個人データをAIに入力する際の適法根拠（同意・正当利益等）の整理
顧客からのオプトアウト請求への対応手順の整備

5. EU AI Act対応の専門チーム編成

EU向けにAIサービスを提供している企業は、法務・IT・事業部門の横断チームを編成してください。外部の法律事務所やコンサルティングファームとの連携も検討すべきです。EU域内の代理人（Authorized Representative）の指定も、2026年8月までに完了する必要があります。

6. AIエージェントの安全管理

AIエージェントを業務に導入している企業は、セキュリティリスクの評価も不可欠です。Prompt Injectionやデータ漏洩、権限暴走など、AIエージェント固有の脅威への対策を講じてください。詳しくは「AIエージェント脅威モデル：Prompt Injection・データ漏洩・権限暴走の落とし穴と対策」を参照してください。

7. 法務・コンプライアンス部門のAIリテラシー向上

AI規制は技術的な知識が必要です。法務部門にAI技術の基礎知識を持つメンバーを配置するか、外部専門家との連携体制を構築してください。経済産業省が公開している「AI利活用のためのリテラシー教材」や、各業界団体が提供するAIガバナンス研修の活用も有効です。

規制対応チェックリスト — 2026年8月までにやるべきこと

最後に、2026年8月のEU AI Act完全適用までに完了すべきタスクをチェックリスト形式でまとめます。

フェーズ1: 現状把握（2026年Q1〜Q2前半）

自社のAIシステムを全数棚卸し（シャドーAI含む）
各AIシステムのリスク評価（5軸スコアリング）を実施
EU域内への影響範囲を特定
現行の社内ガイドライン・ポリシーのギャップ分析

フェーズ2: 体制整備（2026年Q2）

AIガバナンス委員会の設置（または既存委員会の機能拡張）
規制対応の予算確保と経営承認
外部専門家（法律事務所・コンサルタント）の選定
EU域内の代理人（Authorized Representative）の指定

フェーズ3: 対策実施（2026年Q2〜Q3）

高リスクAIシステムの技術文書を作成
リスク管理システムの構築・運用開始
人間による監視プロセスの文書化と運用テスト
AIエージェントのHuman-in-the-Loopワークフロー実装
社内ガイドラインの更新と全社展開
個人情報のAI利用に関するルール厳格化
AI生成コンテンツの表示ラベル運用開始

フェーズ4: 検証・維持（2026年Q3以降）

適合性の内部監査を実施
インシデント対応フローのテスト
四半期ごとのAIガバナンスレビューを定例化
規制動向のウォッチ体制を確立（著作権法改正・個人情報保護法改正のフォロー）

まとめ

2026年は「施行の年」。 AI基本法、EU AI Act、個人情報保護法改正、AI事業者ガイドライン更新が重なる節目です。「様子見」は許されない段階に入りました
EU AI Actの域外適用に注意。 EU市場に関わる日本企業は全世界売上の7%の罰金リスクがあります。2025年2月に許容不可リスクAIの禁止がすでに適用済みで、2026年8月の高リスクAI規定の完全適用までに対応を完了してください
AIエージェントにはHuman-in-the-Loopが必須。 AI事業者ガイドライン第1.2版で、AIエージェントが外部アクションを実行する際の人間承認が求められるようになりました。権限の最小化、実行ログの保持、異常時の自動停止もあわせて実装してください
著作権法の変化に備える。 2026年後半に商用AI生成コンテンツへの表示義務化が予定されています。AI生成物の管理体制を今から整備してください
リスク評価を起点に対応計画を策定する。 本稿で紹介した5軸のリスク評価フレームワークとチェックリストを活用し、自社のAIシステムごとに対応優先度を判定してください。すべてを一度に対応するのではなく、リスクの高いものから段階的に進めることが現実的です

Agenticベースでは、AI規制への対応診断、AIガバナンス体制の構築支援、社内ガイドライン策定、EU AI Act対応のコンサルティングを提供しています。お問い合わせはこちら →

この記事の著者

Agentic Base 編集部

AIエージェントとWebメディア運用の知見を活かし、実践的なナレッジを発信しています。